Microsoft ID 플랫폼에서 발급한 액세스, ID 또는 SAML(Security Assertion Markup Language) 토큰의 수명을 구성할 수 있습니다. 조직의 모든 앱, 다중 테넌트 애플리케이션 또는 특정 서비스 주체에 대해 토큰 수명을 설정할 수 있습니다. 관리 ID 서비스 주체에 대한 토큰 수명 구성은 지원되지 않습니다.
Microsoft Entra ID에서 정책은 조직의 개별 애플리케이션 또는 모든 애플리케이션에 적용되는 규칙을 정의합니다. 각 정책 형식에는 할당된 개체에 적용되는 방법을 결정하는 고유한 속성이 있습니다.
우선 순위가 높은 정책으로 재정의되지 않는 한 모든 애플리케이션에 적용되는 조직의 기본값으로 정책을 지정할 수 있습니다. 정책 유형에 따라 우선 순위가 다른 특정 애플리케이션에 정책을 할당할 수도 있습니다.
실제 지침은 토큰 수명을 구성하는 방법의 예를 참조하세요.
제한 사항 및 고려 사항
토큰 수명 정책을 구성하기 전에 다음 사항에 유의하세요.
- 포털 UI 없음: 토큰 수명 정책은 Microsoft Graph API 및 Microsoft GraphPowerShell SDK를 통해서만 관리할 수 있습니다. Microsoft Entra 관리 센터에는 구성 화면이 없습니다.
- SharePoint 및 OneDrive: 구성 가능한 토큰 수명 정책은 SharePoint Online 및 비즈니스용 OneDrive 리소스에 액세스하는 모바일 및 데스크톱 클라이언트에만 적용됩니다. 웹 브라우저 세션에는 적용되지 않습니다. 웹 브라우저 세션 수명을 관리하려면 조건부 액세스 세션 수명을 사용합니다. 유휴 세션 시간 제한을 구성하기 위한 SharePoint Online 블로그 를 참조하세요.
-
개인 Microsoft 계정: 토큰 수명 정책은 개인 Microsoft 계정(
signInAudience또는AzureADandPersonalMicrosoftAccount로 설정될 때)용으로 개발된 애플리케이션에 지원되지 않습니다. - 관리 ID: 관리 ID 서비스 주체 에 대한 토큰 수명 구성은 지원되지 않습니다.
- 새로 고침 및 세션 토큰 수명: 새로 고침 및 세션 토큰 수명은 더 이상 토큰 수명 정책을 통해 구성할 수 없습니다. Microsoft Entra ID는 아래에 설명된 기본값만 사용합니다. 사용자가 로그인해야 하는 빈도를 제어하려면 조건부 액세스 로그인 빈도 를 대신 사용합니다.
액세스, SAML 및 ID 토큰에 대한 토큰 수명 정책
액세스 토큰, SAML 토큰 및 ID 토큰에 대한 토큰 수명 정책을 설정할 수 있습니다.
액세스 토큰
클라이언트는 액세스 토큰을 사용하여 보호된 리소스에 액세스합니다. 액세스 토큰은 사용자, 클라이언트 및 리소스의 특정 조합에만 사용할 수 있습니다. 액세스 토큰의 수명을 조정하는 것은 시스템 성능을 개선하는 것과 사용자의 계정이 비활성화된 후 클라이언트에서 액세스를 유지하는 기간을 늘리는 것 간의 절충 작업입니다. 시스템 성능을 개선하려면 클라이언트에서 새 액세스 토큰을 획득해야 하는 횟수를 줄이면 됩니다.
액세스 토큰의 기본 수명은 변할 수 있습니다. 발급 시 액세스 토큰의 기본 수명에는 60~90분(평균 75분) 범위의 임의 값이 할당됩니다. 기본 수명은 토큰을 요청하는 클라이언트 애플리케이션, 토큰이 발급된 리소스 및 테넌트에서 조건부 액세스를 사용할 수 있는지 여부에 따라 달라집니다. 자세한 내용은 액세스 토큰 수명을 참조하세요.
클라이언트와 리소스가 모두 CAE(지속적인 액세스 평가)를 지원하는 경우 토큰 수명은 안전한 경우 자동으로 24-28시간으로 확장될 수 있습니다. 이러한 수명이 긴 토큰은 계정 사용 안 함 및 암호 변경과 같은 중요한 이벤트에 대한 응답으로 거의 실시간으로 해지됩니다. CAE가 토큰 수명에 미치는 영향에 대해 자세히 알아보기
SAML 토큰
SAML 토큰은 많은 웹 기반 SaaS 애플리케이션에서 사용되며 Microsoft Entra ID의 SAML2 프로토콜 엔드포인트를 사용하여 가져옵니다. 또한 WS-Federation을 사용하는 애플리케이션에서도 사용됩니다. 토큰의 기본 수명은 1시간입니다. 애플리케이션의 관점에서 토큰의 유효 기간은 토큰의 <conditions …> 요소에 대한 NotOnOrAfter 값으로 지정됩니다. 토큰의 유효 기간이 끝난 후 클라이언트는 새 인증 요청을 시작해야 합니다. 이는 대화형 로그인 없이 SSO(Single Sign On) 세션 토큰의 결과로 충족되는 경우가 많습니다.
NotOnOrAfter의 값은 AccessTokenLifetime에 TokenLifetimePolicy 매개 변수를 사용하여 변경할 수 있습니다. 정책에 구성된 수명(있는 경우)에 5분의 클록 오차 인수를 더해 설정됩니다.
<SubjectConfirmationData> 요소에 지정된 주체 확인 NotOnOrAfter는 토큰 수명 구성의 영향을 받지 않습니다.
ID 토큰
ID 토큰은 웹 사이트 및 기본 클라이언트에 전달됩니다. ID 토큰은 사용자에 대한 프로필 정보를 포함합니다. ID 토큰은 사용자와 클라이언트의 특정 조합에 바인딩되며, ID 토큰은 만료될 때까지 유효한 것으로 간주됩니다. 일반적으로 웹 애플리케이션은 애플리케이션의 사용자 세션 수명을 해당 사용자에 대해 발급된 ID 토큰의 수명과 일치시킵니다. ID 토큰의 수명을 조정하여 웹 애플리케이션이 애플리케이션 세션을 만료하는 빈도와 사용자가 Microsoft ID 플랫폼(자동 또는 대화형)으로 다시 인증되어야 하는 빈도를 제어할 수 있습니다.
구성 가능한 토큰 수명 속성
토큰 수명 정책은 토큰 수명 규칙을 포함하는 정책 개체의 형식입니다. 이 정책은 이 리소스에 대한 액세스, SAML 및 ID 토큰이 유효한 것으로 간주되는 기간을 제어합니다. 새로 고침 및 세션 토큰에 대해서는 토큰 수명 정책을 설정할 수 없습니다. 설정된 정책이 없는 경우 시스템에서 기본 수명값을 적용합니다.
액세스, ID 및 SAML2 토큰 수명 정책 속성
액세스 토큰 수명을 줄이면 악의적인 행위자가 손상된 액세스 토큰 또는 ID 토큰을 사용할 수 있는 시간을 제한할 수 있습니다. 단점은 토큰을 더 자주 교체해야 하기 때문에 성능에 부정적인 영향을 미친다는 것입니다.
예를 들어 웹 로그인에 대한 정책 만들기를 참조하세요.
액세스 토큰, ID 토큰 및 SAML2 토큰에 대한 토큰 수명은 다음 정책 속성에 의해 제어됩니다.
- 속성: 액세스 토큰 수명
-
정책 속성 문자열:
AccessTokenLifetime - 영향: 액세스 토큰, ID 토큰, SAML2 토큰
-
기본값:
- 액세스 토큰: 토큰을 요청하는 클라이언트 응용 프로그램에 따라 달라집니다. CAE 인식 세션을 협상하는 CAE 지원 클라이언트는 수명이 긴 토큰(최대 28시간)을 받을 수 있습니다.
- ID 토큰, SAML2 토큰: 1시간
-
최소: 10분(
00:10:00) -
최대값: 1일(
23:59:59)
참고
이름에도 불구하고 액세스 토큰, AccessTokenLifetime ID 토큰 및 SAML2 토큰의 수명을 제어합니다.
정책 평가 및 우선 순위 지정
특정 애플리케이션과 조직에 토큰 수명 정책을 만든 후 할당할 수 있습니다. 특정 애플리케이션에 여러 정책이 적용될 수 있습니다. 적용되는 토큰 수명 정책은 다음 규칙을 따릅니다.
중요합니다
토큰 수명 정책의 경우 조직 수준 정책이 애플리케이션 수준 정책보다 우선합니다. 앱 수준 정책이 적용되지 않는 경우 조직 수준 정책이 있는지 확인합니다.
- 정책이 조직에 명시적으로 할당되면 적용됩니다.
- 조직에 명시적으로 할당된 정책이 없으면 애플리케이션에 할당된 정책이 적용됩니다.
- 조직이나 애플리케이션 개체에 정책이 할당되지 않은 경우 기본값이 적용됩니다. 구성 가능한 토큰 수명 속성의 테이블을 참조하세요.
토큰의 유효성은 토큰이 사용되는 시점에 평가됩니다. 액세스하는 애플리케이션에 대한 우선 순위가 가장 높은 정책이 적용됩니다.
새로 고침 토큰 및 세션 토큰에 대한 토큰 수명 정책(사용 중지됨)
중요합니다
2021년 1월 30일부터 새로 고침 및 세션 토큰 수명은 더 이상 토큰 수명 정책을 통해 구성할 수 없습니다. Microsoft Entra ID는 아래에 설명된 기본값만 사용합니다. 사용자가 로그인해야 하는 빈도를 제어하려면 조건부 액세스 로그인 빈도 를 대신 사용합니다.
새로 고침 또는 세션 토큰 속성을 설정하는 기존 정책이 있는 경우 해당 속성은 무시됩니다. 새 토큰은 항상 기본 구성으로 발급됩니다.
새로 고침 및 세션 토큰 기본값(구성할 수 없음)
다음 표에서는 계속 적용되는 기본값을 문서화합니다. 이러한 값은 토큰 수명 정책을 통해 변경할 수 없습니다.
| 속성 | 정책 속성 문자열 | 기본값 |
|---|---|---|
| 새로 고침 토큰 최대 비활성 시간 | MaxInactiveTime |
90일 |
| 단일 단계 새로 고침 토큰 최대 기간 | MaxAgeSingleFactor |
철회될 때까지 |
| 다중 요소 갱신 토큰 최대 수명 | MaxAgeMultiFactor |
철회될 때까지 |
| 단일 요소 세션 토큰 최대 유효 기간 | MaxAgeSessionSingleFactor |
철회될 때까지 |
| 다중 요인 세션 토큰 최대 유효 기간 | MaxAgeSessionMultiFactor |
철회될 때까지 |
비영구 세션 토큰의 최대 비활성 시간은 24시간입니다. 영구 세션 토큰의 최대 비활성 시간은 90일입니다. SSO 세션 토큰이 유효 기간 내에 사용되는 경우 유효 기간은 각각 24시간 또는 90일 동안 연장됩니다.
사용 중지된 새로 고침/세션 토큰 속성이 여전히 포함될 수 있는 기존 정책을 찾으려면 PowerShell cmdlet을 사용합니다.
REST API 참조
Tip
모든 시간 기간은 C# TimeSpan 형식을 사용하여 형식 hh:mm:ss이 지정됩니다. 최소값은 10분이고 최대값은 00:10:00 .입니다 23:59:59.
Microsoft Graph를 사용하여 토큰 수명 정책을 구성하고 앱에 할당할 수 있습니다. 자세한 내용은 tokenLifetimePolicy 리소스 종류 및 관련 메서드를 참조하세요.
Cmdlet 참조
이는 Microsoft Graph PowerShell SDK의 cmdlet입니다.
정책 관리
다음 명령을 사용하여 정책을 관리할 수 있습니다.
| cmdlet | 설명 |
|---|---|
| New-MgPolicyTokenLifetimePolicy | 새 정책을 만듭니다. |
| Get-MgPolicyTokenLifetimePolicy | 모든 토큰 수명 정책 또는 지정된 정책을 가져옵니다. |
| 업데이트-Mg정책토큰수명정책 | 기존 정책을 업데이트합니다. |
| Remove-MgPolicyTokenLifetimePolicy | 지정된 정책을 삭제합니다. |
애플리케이션 정책
애플리케이션 정책에 다음 cmdlet을 사용할 수 있습니다.
| cmdlet | 설명 |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | 지정된 정책을 애플리케이션에 연결합니다. |
| Get-MgApplicationTokenLifetimePolicyByRef | 애플리케이션에 할당된 정책을 가져옵니다. |
| Remove-MgApplicationTokenLifetimePolicyByRef (참조에 의해 애플리케이션 토큰 수명 정책 제거) | 애플리케이션에서 정책을 제거합니다. |
다음 단계
자세한 정보는 토큰 수명을 구성하는 방법에 대한 예제를 참조하세요.